KMS 密钥管理系统

概念

数据加密标准（Data EncryptionStandard，DES）

替代（substitution）和置换（permutation）

密码学（cryptology）

编码学（cryptography）和密码分析学（cryptanalysis）

安全合规：密钥管理系统底层使用国家密码局或 FIPS-140-2 认证的硬件安全模块 HSM 来保护密钥的安全，确保密钥的保密性、完整性和可用性。

托管：提供丰富的管理功能，例如密钥创建、启用、禁用、归档、轮换设置、别名设置、查看密钥详情、修改相关信息等

支持对称加密算法，例如 SM4，AES256；非对称加密算法，例如 RSA，SM2

访问权限管理集成：通过身份管理和策略管理控制哪些账户、哪些角色可以访问或管理您的敏感密钥。

内置审计：可记录所有 API 请求，包括密钥管理操作和密钥使用情况。

后台服务开发配置信息保护

痛点：应用开发配置文件需要进行加密以保护程序数据安全。
方案：通过 KMS 对敏感配置信息、数据库连接信息、数据库密码、登录密钥、后台服务的配置信息进行加密及完整性保护。

企业核心数据保护
痛点：核心知识产权、用户手机号、身份证号、银行账号、口令等隐私数据做严格保护，将敏感数据加密后保存，但是无法保证数据密钥的安全。
方案：以信封加密方式，将所有核心数据通过数据密钥加密，数据密钥再经过 KMS 加密，为核心数据提供双重保护。

网站或应用开发安全
痛点：提供 HTTPS 等服务时需要使用到证书、密钥，这些信息若以明文保存本地，攻击者可以轻易获取。
方案：通过 KMS 对密钥进行加解密，加密后本地保存密钥的密文文件，使用时解密且不保存本地，使得攻击者难以获取，从而保证网页和应用的安全性。

集中管理密码策略
痛点：应用统一的密钥管理策略至分散的业务系统。
方案：通过 SDK、云产品或 API 调用 KMS 服务，对云上及本地应用系统数据应用统一的密钥管理策略。

说明仅密钥类型为Aliyun_AES_256和Aliyun_SM4的对称密钥支持设置轮转周期。